Aalborg Universitet hacket: »De kan have skaffet sig adgang til forskning og alle andre oplysninger«

Det du fortæller burde fremgå ikke af DK CERT's hjemmeside. I stedet for står der (fejlagtigt), at DK CERT overvåger og advarer om hændelser på univeristeternes forskningsnet. Det er sagen kerne.

#20 : DKCERT får ikke noget regning - regningen går til AAU i dette tilfælde. AAU har selv valgt at indgå samarbejde med CSIS. DKCERT har den størrelse som er ønsket af universiteterne. Universiteterne har valgt at have kræfter til sikkerhed mv. lokal ansat (nogen bruger flere midler på dette end andre). DKCERT har efter aftale med universiteterne netop den rolle som er beskrevet i #19. De anvender deres netværk til at koordinere på tværs og med eksterne partnere.

DKCERT er en aktivt medspiller i de internationale fora til gavn for universiteterne.

(Jeg er ansat på et universitet og medlem af DKCERTs advisory board - er ikke AAU)

burde man lave en masse honeypots med falsk forskning. Så kunne de røvhuller f.eks. spille millioner på at kopierer elendige jægerfly's dele.

Ja, informationen var godt gemt nede i arkivet og burde have stået allerøverst på hjemmesiden så længe sagen kører, til skræk og advarsel. Mon ikke bla. Datatilsynet har bemærkninger til sagen? I stedet for er der næsten intetsigende informationer på hjemmesiden, der permanent fremhæver DK CERT chefens fortræffeligheder og store engagement. Det kan tillige undre, at DK CERT ikke har den fornødne indsigt og kompetencer til selv at overvåge og afsløre hacket, og må ty til støtte og hjælp fra et privat it- og cybersikkerhedsfirma. Dette til trods for at skatteyderne betaler millioner af kroner til DK CERT årligt, uden at få ret meget til gengæld. Når det private firma (CSIS) så har løst opgaven for DK CERT sender firmaet selvfølgelig en regning, som skatteborgeren også skal betale fordi DK CERT ikke er sin opgave voksen. Double up - skatteydere. Betaling ved kasse 1.

At DKCERT ikke hjælper AAU er ikke korrekt. DKCERT har bidraget med råd og vejledning ifm. hændelsen på CISO- og teknikerniveau og varetager under fortrolighed en koordinerende rolle ift. andre universiteter og i denne sag også ift. CSIS. DKCERT har dog en begrænset kapacitet til selve den tekniske håndtering af hændelser.

Mht. information om hændelser har DKCERT skrevet om hændelsen på cert.dk den 5.8 og sendt nyheden ud med nyhedsbrevet mandag den 10.8. DKCERT skriver løbende mange nyheder med den konsekvens, at ældre nyheder skubbes ned i nyhedsarkivet, efterhånden som nye publiceres. Af den grund kan omtalen af AAU-hændelsen ikke findes på ”forsiden” af cert.dk, men skal findes i nyhedsarkivet.

https://www.cert.dk/da/news/2020-08-05/Aalborg-Universitet-udsat-for-kritisk-haendelse

Den er jo før brugt (mujligvis med success)

Da russerne ville lave en kopi af Concorde fik de en lufthavnsmedarbejder i frankrig til at indsamle stumper af gummi fra dækkene så de kunne lave dæk der kunne holde til de store belastninger. Det fik franskmændene så at vide og de fik Goodyear (mener jeg) til at lave et par kilo af 'den værste gummi de kunne finde på' som de så fik nanden til at give russerne.

Om så russerne i sidste ende faldt for den ved jeg ikke, men de må i hvert fald have brugt en del tid på at analyserede, men uanset hvad er det en god hidtorie. :-)

Skriv en hilsen til Kina/Rusland ind i databasen :)

Når Kina i så omfattende grad stjæler virksomheds- og forskningshemmeligheder, burde man lave en masse honeypots med falsk forskning. Så kunne de røvhuller f.eks. spille millioner på at kopierer elendige jægerfly's dele.

at alle personfølsomme oplysninger

Jeg ville slet ikke bliver overrasket, hvis det sidste, som de har været interesseret i, er personoplysninger som sådan.

Tak for svar, Tobias Tobiasen.

... gå ud fra, at alle personfølsomme oplysninger (hvoraf mange sikkert er hentet uden viden og samtykke) har været opbevaret krypteret?

... gå ud fra, at alle personfølsomme oplysninger (hvoraf mange sikkert er hentet uden viden og samtykke) har været opbevaret krypteret?

Man kunne godt forrestille sig at det fremad vil kræve opkobling via VPN for at tilgå email.

DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«"DMARC-beskyttelse blev obligatorisk på alle statslige domæner 1. juli, men 60 mangler stadig at implementere teknologien"

betyder det ALT i AAU's databaser?

Så må man håbe at der vælges nye der ikke er det gamle med +1 i enden.

Ja, men det er nok for meget at håbe på. '12345678', 'qwertyui' eller navnet på datteren, sønnen, hunden, bilens nummerplade 2 gange, etc., er jo den intelligente [sic] brugers foretrukne.

"Kriminelle hackere har kompromitteret Aalborg Universitets brugerdatabase ..."

Nope

Aalborg Universitet har kompromitteret Aalborg Universitets brugerdatabase ved rettidig anvendelse af sjusk og/eller inkompetence ved beskyttelsen af data.

Og med adgang til Domain Controller har man adgang til usaltede password hashes

Nu er jeg ikke Windows-mand så jeg spørger af nysgerrighed. Jeg undrer mig over, at Domain Controller/Active Directory ikke er splittet op for at minimere risiko. Det er mit indtryk, at den stort set ikke er konkurrenceudsat i Danmark. Er den så overlegen i forhold til konkurrende LDAP-eller andre løsninger.? Man skal ikke duckduckgo'e eller searx'e ret meget, før man faktisk finder alternativer.

Kunne jo fks. være adgang til email udefra. Man kunne godt forrestille sig at det fremad vil kræve opkobling via VPN for at tilgå email.

Hvorfor var det ikke allerede et krav før?

fra artiklen:

forskningsdata og alle andre oplysninger på AAUs databaser.

er jeg den eneste der synes det er en virkelig underlig formulering? betyder det ALT i AAU's databaser?

Hvorfor var det ikke allerede et krav før?

At have en loginmulighed - især i Windows - stående frit åben for omverdnen er da under al kritik. Der bliver jævnligt fundet sikkerhedshuller og hvis man via malware eller social engineering har fået startet noget inde på systemerne så er adgang let og ukompliceret. Det er bare ikke godt nok efter min mening.

Al fjernadgang bør kun være muligt via VPN eller tilsvarende sikrede forbindelser.

Min forståelse er at DK-CERT har meget få ansatte og slet ikke har resurser til at hjælp ved sådanne hændelser. Jeg tænker at de kan tilbyde hjælp i form af en incident manager og nogle værktøjer og erfaring, men at hjælpe med at konstatere om man er kompromitteret er ikke en kompetance DK-CERT har.

Det er i sidste ende et politisk spørgsmål, hvilke resurser DK-CERT skal have.

Såfremt hackere har eskaleret sine rettigheder til Domain Administrator, så er det helt klart at den potentielle skade er, at de har fået adgang til alt det man kan få adgang til med Windows users accounts. Enhver anden vurdering ville være en fejlvurdering, medmindre man har direkte dokumentation for at det ikke er sket. Man må antage den potentielle skade.

Det faktum at alle har fået besked på at skifte password (forhåbentlig har alle forinden fået ændret password til noget 3die part ike kender), viser også at man tager det alvorligt. Det gælder om at lukke hackeren ude fra de konti han har overtaget. Og med adgang til Domain Controller har man adgang til usaltede password hashes, og det er trivielt (langt under en time) at prøve alle passwords på max 8 tegn med kun store/små/tal. Så man kan antage at mange passwords også er kompromiteret. Så må man håbe at der vælges nye der ikke er det gamle med +1 i enden.

Tankevækkende og lidt overraskende, at AAU har set sig nødsaget til at hyre eksterne eksperter alt den stund at universiteterne har deres eget sikkerhedsorgan, DK-CERT, der er offentligt finansieret og til dagligt skal varetage forskningsnettets It- og cybersikkerhed. På DK-CERT's hjemmeside kan man ikke læse noget om hackerangrebet til trods for at der i deres formålsparagraf står: DKCERT (Danish Computer Security Incident Response Team) overvåger sikkerheden på forskningsnettet og informerer om aktuelle sikkerhedshændelser.